セキュリティ研究者は、実際の通話による銀行取引を偽の音声で乗っ取って、サイバー犯罪者が管理する口座情報を伝えることに成功しました。
ディープフェイク音声は目新しいテクノロジーではありませんが、非常に進化しています。このような環境の中で、IBM脅威インテリジェンスチームのセキュリティ研究者は、音声ベースの「中間者」攻撃が可能ではないか?という仮説を検証しました。
IBMの研究者は、生成AIと3秒間以上録音された音声を使用することで、攻撃者が会話に入り込み、通話先の銀行と通話元のユーザーの両方に気づかれることなく、口座情報を切り替えることができることを実証しました。
出典:Optimizely
このようなテクノロジーがサイバー犯罪のエコシステムで広く利用できるようになると、金融取引を担当する企業のすべての従業員は、電話で通話している相手の本人確認を電話以外の通信方法で行わなければならなくなります。
パスワードだけで認証する時代は終わりを迎えています。多要素認証は、自社のユーザーからの要求を含め、あらゆる金銭的な取引の要求で必須になっています。要求を処理する前に、正規のユーザーの要求であることを確認するプロセスを確立する必要があります。
会話がハイジャックされ、それらしい用語が挿入されるため、何らかの異常が発生していることを通話先の金融機関も通話元のユーザーも気が付く可能性が低くなります。そのため、新しいスタイルの先進的なセキュリティ意識向上トレーニングを通じて、取引を実行するすべての従業員が警戒を怠らないようにし、組織のサイバーセキュリティポリシーとプロセスを遵守する必要があります。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの醸成につなげています。
原典:Stu Sjouwerman著 2024年2月20日発信 https://blog.knowbe4.com/ibm-tests-audio-based-language-model-to-hijack-live-conversations
